前幾天，我整理了一篇《關于安全漏洞的一些簡單看法》，結合我國的法律法規及國家標準，簡單探討了一下關于安全漏洞管理的注意事項，今天正好看到美國IBM發布的一篇有關漏洞管理和威脅建模方法的文章，感覺對我們管理網絡安全有一定的借鑒指導意義，現編譯整理出來供大家參考！

漏洞管理是一種安全實踐，旨在避免可能損害組織的事件。這是一個定期持續的流程，用于識別、評估和管理 IT 生態系統所有組件的漏洞。

網絡安全是許多組織努力保持領先地位的主要優先事項之一。網絡犯罪分子為竊取企業有價值的信息而進行的網絡攻擊數量大幅增加。因此，為了應對這些攻擊，組織現在更加注重構建更強大、更安全的網絡安全網絡。

在本文中，我們將識別與組織中的網絡安全相關的一些漏洞及其對業務的影響。此外，我們還將推導出管理組織中的漏洞的方法以及客戶在實施該方法時的經驗。

常見的網絡安全威脅

讓我們來看看一些對組織影響最大的網絡安全相關漏洞。

網絡釣魚

網絡釣魚是最普遍的網絡安全漏洞，影響全球超過 85% 的組織。在網絡釣魚攻擊中，用戶被誘騙下載通過電子郵件發送給他們的惡意鏈接。發送的電子郵件看起來像一封合法的電子郵件，其中包含所有必要的信息。因此，用戶會被誘騙打開附件或單擊電子郵件中包含的有害鏈接。

最常見的網絡釣魚攻擊類型是電子郵件網絡釣魚。隨著時間的推移，攻擊者還制定了其他方法，包括網絡釣魚、網絡釣魚和搜索引擎網絡釣魚。在短信詐騙中，惡意鏈接是通過電話短信發送的，而在網絡釣魚中，則是通過撥打電話來欺騙用戶。搜索引擎網絡釣魚是攻擊者創建虛假網站并在搜索引擎上排名的最新方法，迫使用戶輸入關鍵信息，從而導致最終用戶被盜。

勒索軟件

勒索軟件是最常見的威脅類型之一，每天都會影響數百個組織。在勒索軟件攻擊中，攻擊者會對組織的數據進行加密，以便組織內部的任何人都無法訪問這些數據。為了解鎖數據，攻擊者要求巨額贖金，從而導致巨大的金錢損失，并導致他們的服務中斷。

組織通常傾向于向網絡攻擊者支付這些贖金，因為他們沒有資源從勒索軟件攻擊中恢復。在某些情況下，即使支付了贖金，組織也無法檢索其數據。

惡意軟件攻擊

惡意軟件攻擊是旨在對組織的基礎設施、系統或網絡造成損害或損害的惡意程序。惡意軟件的來源通常是公共 Wi-Fi、垃圾郵件、下載惡意內容以及點擊彈出廣告。一旦惡意軟件被釋放到系統中，它就可能危及組織服務器和系統上可用的所有關鍵信息和個人信息。

惡意軟件可分為以下類別之一：病毒、特洛伊木馬、蠕蟲、廣告軟件、間諜軟件、惡意廣告。惡意軟件有時很難在系統中檢測到，并且可以更改系統設置和權限、監視用戶活動并阻止用戶計算機上的關鍵程序。

分布式拒絕服務 (DDoS)

在分布式拒絕服務 (DDoS) 攻擊中，組織的在線服務因來自多個來源的互聯網流量的泛濫而變得不可用。網絡攻擊者以銀行或政府網站的所有關鍵資源為目標，以確保最終用戶無法訪問這些網站上的在線信息。

Amazon Web Services (AWS) 和 GitHub 是 DDoS 攻擊的最新受害者之一。常見的 DDoS 攻擊類型包括 UDP Flood、ICMP (ping) Flood、SYN Flood、Slowloris、Ping of Death、HTTP Flood 和 NTP 放大。

密碼被盜

組織面臨的另一個主要威脅是員工使用弱密碼或通用密碼。如今，大多數組織都使用多種應用程序服務，重復使用容易猜到的密碼可能會導致數據泄露。

此外，當用戶在不知情的情況下將其憑據輸入到虛假網站時，密碼也可能會被泄露。因此，對于每個平臺使用難以猜測的唯一密碼以確保數據的安全性至關重要。

網絡攻擊對組織的影響

網絡攻擊最糟糕的結果之一是收入下降， 因為組織必須付出高昂的代價才能從威脅行為者那里恢復數據并恢復正常的業務運營。2018 年，一家社交媒體巨頭因數據泄露影響了 5000 萬用戶，損失了超過 130 億美元的價值。該公司表示，攻擊者能夠利用“查看為”功能中的漏洞來控制人們的帳戶。他們的股票在證券交易所下跌了 3%。

個人信息被泄露的客戶在未來向被泄露的組織提供敏感信息時往往會感到不太安全，更不用說繼續與該公司開展業務了。失去信任和信心就等于組織聲譽受損。2013年，美國一家大型零售巨頭因數據泄露而丟失了超過4000萬客戶的信用卡信息，導致聲譽受損和1850萬美元的損失。

根據網絡攻擊的強度和受損信息的類型，組織可能必須支付實際和解金并面臨法律后果以補償損失。一家美國跨國科技公司遭受了互聯網歷史上最大規模的網絡攻擊之一。他們在 2014 年和 2016 年遭遇多次違規，影響了超過 10 億個用戶帳戶。泄露信息包括姓名、電子郵件地址、電話號碼、生日等。這家科技公司目前已針對他們提起幾起訴訟，美國國會正在進行調查。

網絡攻擊可能會導致中斷，從而導致業務停止，從而給業務連續性帶來風險。用戶可能被鎖定在系統之外，從而無法訪問關鍵信息。它還會導致交易中斷，例如無法進行在線交易。2020 年，西南太平洋島國之一的國家證券交易所在其網絡提供商遭受大規模 DDoS 攻擊后不得不關閉運營。

威脅建模方法和技術

威脅建模是一種主動策略，用于識別潛在漏洞并制定對策來減輕或應對這些漏洞，以防止系統遭受網絡攻擊。威脅建模可以在開發過程中的任何階段執行——盡管建議在項目開始時執行。通過這種方式，可以更快地識別和糾正威脅。

可以利用多種方法來執行威脅建模。選擇正確的技術取決于系統中要解決的威脅類型。我們將介紹目前最流行的五種威脅建模技術。

1.STRIDE

STRIDE 是最成熟的威脅建模技術之一，由 Microsoft 于 2002 年采用。STRIDE 是其涵蓋的威脅類型的縮寫：

• S —當攻擊者冒充另一個人時，就會發生欺騙。欺騙的一個例子是從假電子郵件地址冒充其他人發送電子郵件。
• T —未經授權修改或更改信息或數據即發生篡改。可以通過修改日志文件、插入惡意鏈接等方式篡改數據。
• R——否認是指入侵者由于缺乏證據而否認任何惡意活動的能力。攻擊者總是想隱藏自己的身份，因此他們會謹慎地隱藏自己的不當行為以避免被追蹤。
• I —信息泄露是將數據暴露給未經授權的用戶，從而泄露有關數據的信息，攻擊者可以利用這些信息來破壞系統。
• D —拒絕服務是指服務流量過載，耗盡資源，從而導致系統崩潰或關閉合法流量。
• E —當攻擊者通過在系統中獲得額外權限來獲得對信息的未經授權的訪問時，就會發生權限提升。

2. 通用漏洞評分系統（CVSS）

CVSS 是用于已知漏洞的標準化威脅評分系統。它由美國國家標準與技術研究所 (NIST)開發，并由事件響應和安全團隊論壇 (FIRST) 維護。

CVSS 捕獲漏洞的主要特征，同時分配數字嚴重性評分（范圍從 0 到 10，其中 10 表示最差）。然后，分數被轉換為定性表示，可以是“嚴重”、“高”、“中”和“低”。這有助于組織評估、識別和有效運行威脅管理流程。

3.VAST

可視化、敏捷和簡單威脅（VAST）是一種基于 ThreatModeler 的自動化威脅建模技術。VAST 提供獨特的計劃，因此威脅模型計劃的創建不需要任何專門的安全主題專業知識。

實施 VAST 需要創建應用程序和運營威脅模型。應用程序威脅模型使用流程圖來表示架構方面，而操作威脅模型是基于數據流程圖從攻擊者的角度創建的。

4. PASTA

攻擊模擬和威脅分析流程 (PASTA) 是 2012 年開發的一種以風險為中心的七步方法。它可幫助組織動態識別、計數威脅并確定威脅優先級。

一旦網絡安全專家對已識別的威脅進行了詳細分析，開發人員就可以從以攻擊者為中心的角度分析應用程序，從而制定以資產為中心的緩解策略。

5. 攻擊樹

攻擊樹是顯示資產如何受到攻擊的路徑的圖表。這些圖表將攻擊目標顯示為根，將可能的路徑顯示為分支。

攻擊樹是最古老、使用最廣泛的威脅模型技術之一。早期的攻擊樹被用作獨立的方法，但最近它們經常與其他技術結合使用，例如 STRIDE、PASTA 和 CVSS。

組織必須決定哪種威脅建模框架最適合他們的需求。不同的方法適合不同的情況和團隊。了解可用選項以及每個選項的優點和局限性有助于做出明智的決策并提高威脅建模工作的有效性。

結論

管理威脅是一個不斷發展的過程。確保無威脅環境的主要方法是定期測試安全基礎設施，利用正確的工具和方法進行威脅管理，并向所有員工灌輸知識和信息文化。如果考慮到這些要點，那么組織就會盡最大努力保護數據并確保其系統免受任何有害攻擊、漏洞或威脅。

根據最近的趨勢，自新冠爆發以來，網絡攻擊每月增加 37%。隨著越來越多的員工在家或混合工作，企業將需要擁有強大的網絡安全和數字策略，以應對不斷變化的工作實踐和面臨的新威脅。